Open Source SOC: реальность или утопия?
Иногда встречаю запросы на импортонезависимость в ИБ и желание заменить коммерческий SOC на open source решения. Сегодня слушал интересное выступление Ивана Дьячкова из Wildberries про построение SOC на Open Source.
🛠 Как SOC на Open Source выглядит на практике:
Замена платным SIEM: ElasticSearch/OpenSearch, ClickHouse, Hadoop, Tenzir, OpenObserve (хранение); Logstash, Vector, Kafka Streams, Apache Flink, NiFi (обработка); Kibana, ElastAlert, Flink, Custom Engine (корреляция/алерты).
Замена платным EDR: osquery, wazuh, Velociraptor, Elastic Agent.
Замена платным NDR/NTA: Arkime (Moloch), Zeek — выявление атак по сетевому трафику, Suricata — IDS/IPS, TheHive — обработка инцидентов.
Замена платным IRP / SOAR: TheHive, IRIS DFIR, Catalyst, Cortex, Shuffle, n8n, Airflow, Node-Red, Tracecat, NiFi, DIY-подход.
Threat Intelligence: MISP, YETI, OpenCTI, ELK (Enterprise).
Honeypot/Deception: Иван дал отличную ссылку на список Honeypot.
Плюсы:
— Импортонезависимость
— Экономия на лицензиях
— Гибкость и масштабируемость
— Можно подстраивать под свои задачи
Минусы:
— Нет единой консоли, всё разрозненно
— Все кейсы, корреляции, автоматизацию нужно разрабатывать самому
— Требуются сильные инженеры (DevOps/SOC/IR). Очень сильные. Экстремально сильные. И дорогие.
— Проблемы с аудитом, поддержкой, комплаенсом
— Риски “брошенных” проектов OSS, слабая поддержка
Резюмирую:
Да, Open Source SOC реален для тех, кто готов инвестировать в сборку и эксплуатацию собственной системы SOC/SIEM/EDR/NDR/IRP/TI на OSS. Отличный вариант для импортонезависимости и гибкости, но требует ресурсов, компетенций и времени на настройку, интеграцию и сопровождение. Не подходит для малого и среднего бизнеса.
А вы уже внедряли или пилотировали Open Source SOC? С какими затыками столкнулись?
Готов обсудить детали, поспорить по архитектуре и поделиться опытом!
#SOC #SIEM #OpenSource
👉 Канал Топ Кибербезопасности Батранкова
Иногда встречаю запросы на импортонезависимость в ИБ и желание заменить коммерческий SOC на open source решения. Сегодня слушал интересное выступление Ивана Дьячкова из Wildberries про построение SOC на Open Source.
🛠 Как SOC на Open Source выглядит на практике:
Замена платным SIEM: ElasticSearch/OpenSearch, ClickHouse, Hadoop, Tenzir, OpenObserve (хранение); Logstash, Vector, Kafka Streams, Apache Flink, NiFi (обработка); Kibana, ElastAlert, Flink, Custom Engine (корреляция/алерты).
Замена платным EDR: osquery, wazuh, Velociraptor, Elastic Agent.
Замена платным NDR/NTA: Arkime (Moloch), Zeek — выявление атак по сетевому трафику, Suricata — IDS/IPS, TheHive — обработка инцидентов.
Замена платным IRP / SOAR: TheHive, IRIS DFIR, Catalyst, Cortex, Shuffle, n8n, Airflow, Node-Red, Tracecat, NiFi, DIY-подход.
Threat Intelligence: MISP, YETI, OpenCTI, ELK (Enterprise).
Honeypot/Deception: Иван дал отличную ссылку на список Honeypot.
Плюсы:
— Импортонезависимость
— Экономия на лицензиях
— Гибкость и масштабируемость
— Можно подстраивать под свои задачи
Минусы:
— Нет единой консоли, всё разрозненно
— Все кейсы, корреляции, автоматизацию нужно разрабатывать самому
— Требуются сильные инженеры (DevOps/SOC/IR). Очень сильные. Экстремально сильные. И дорогие.
— Проблемы с аудитом, поддержкой, комплаенсом
— Риски “брошенных” проектов OSS, слабая поддержка
Резюмирую:
Да, Open Source SOC реален для тех, кто готов инвестировать в сборку и эксплуатацию собственной системы SOC/SIEM/EDR/NDR/IRP/TI на OSS. Отличный вариант для импортонезависимости и гибкости, но требует ресурсов, компетенций и времени на настройку, интеграцию и сопровождение. Не подходит для малого и среднего бизнеса.
А вы уже внедряли или пилотировали Open Source SOC? С какими затыками столкнулись?
Готов обсудить детали, поспорить по архитектуре и поделиться опытом!
#SOC #SIEM #OpenSource
👉 Канал Топ Кибербезопасности Батранкова
4👍12👏3